崎山一男 - CRYPTREC

暗号モジ
暗号モジュールのハードウェア実装について
ルのハ ドウ ア実装について
電気通信大学 情報通信工学科
崎山 一男
男
2010/03/02
CRYPTRECシンポジウム2010「暗号技術の実装について」
崎山 一男
2
暗号とハードウェア実装
暗号とハ
ドウェア実装
 情報セキュリティ機器における暗号技術
 暗号
暗号≠セキュリティ
セキ リティ
 きわめて重要な要素
 広がるアプリケーション






2010/03/02
ネットワーク
スマートカード
ド
携帯電話
ゲーム機
ゲ
ム機
RFIDタグ
VoIP, etc...
CRYPTRECシンポジウム2010「暗号技術の実装について」
崎山 一男
Cost, Performance
and
d Security
S
it Trade-offs
T d
ff
3
 暗号モジュ
暗号モジュールの3要素
ルの3要素
 Cost: ゲート数, データメモリ容量, テスト性, etc.
 Performance: 処理速度,
処理速度 消費電力,
消費電力 etc.
etc
 Security: 物理攻撃耐性, サイドチャネル攻撃耐性
Cost
Performance
2010/03/02
Security
CRYPTRECシンポジウム2010「暗号技術の実装について」
崎山 一男
4
ハードウェア実装と柔軟性
ハ
ドウェア実装と柔軟性
 多機能 vs 少機能
Perform
mance (la
atency)
 例えばRSAとECCをサポート（多機能）
 163ビットECC
 GF(2163)上のECC（少機能）
Hardwired
- compact & fast
Cost-performance
トレードオフ
CPU
Programmable
g
- wider-range of applications
- higher-security algorithms
Fixing
Parameters
（少機能化）
Cost-performance
C
f
トレードオフ
Cost (gate area)
2010/03/02
CRYPTRECシンポジウム2010「暗号技術の実装について」
崎山 一男
5
HW/SW Co
Co-design
design
 ハードウェア性能とインタフェース
 専用FSM（μコントローラ）
 専用RAM
 コストとスピードのトレード・オフ
2 859
Type II
CPU
CPU
I/O Overhead
Datapath
Datapath +
専用FSM
Type III
Type IV
CPU
CPU
Datapath
Datapath +
専用FSM
専用RAM
専用RAM
Required Clo
ock Cycles [K]
Type I
2 672
500
I/O Transfer
CPRAM Access
専用RAM
Access
Datapath
400
300
200
187
100
38
0
67
0
38
67
67
0
67
0
トレード・オフ
TYPE I
TYPE II
TYPE III
TYPE IV
System Configuration
ハードウェア
コスト小
2010/03/02
ハイパフォーマンス
超楕円曲線暗号の実装例
[CHES2006]
CRYPTRECシンポジウム2010「暗号技術の実装について」
崎山 一男
6
暗号モジュールの実装性評価
暗号モジュ
ルの実装性評価
 どう評価するか (HOW?)
 評価プラットフォーム
 ハードウェアでは多種多様 (cf. ソフトウェア評価のIntel)
 設計フロー
 多くのパラメター (cf. C言語のコンパイルオプション)
 Verilog
V il or Custom
C
C ll (cf.
Cell
( f C言語 or アセンブラ)
セ ブラ)
 何を評価するか (WHAT?)
 実装効率
 Throughput
Th
h t / gate
t
 Latency ・ gate
 サイドチャネル攻撃耐性
2010/03/02
 プラットフォーム
 設計方針
 評価基準
CRYPTRECシンポジウム2010「暗号技術の実装について」
崎山 一男
7
最近のとりくみ
 公平なSHA-3候補のハードウェア評価に向けて
 SASEBO-GIIを使用
 共通インタフェース
 共通デザインフロー
 公平な結果比較
USB
z bus _clk
制御FPGA
z bus _rs tn
PC
us b_d 8
init
us b_rxfn
us b_txen
us b_rdn
modified
S AS E B O
C hecker
us b_wr
b
E oM
制御
FPGA
load
fetch
ack
idata 16
暗号FPGA
odata 16
S AS E B O ‐G
G II
2010/03/02
暗号
FPGA
[SCIS2010, ePrint2010/010]
CRYPTRECシンポジウム2010「暗号技術の実装について」
崎山 一男
8
SHA-3候補の評価基準
SHA
3候補の評価基準
十分長いメッセージ
では無視できる
 総サイクル数
 ロングメッセージではスループット
【チーター】最高時速~100km
100m走 6秒13 [[Wikipedia]
p
]
 ショ
ショートメッセージではレイテンシィ
トメッセ ジではレイテンシィ
【ｸﾞﾚｲﾊｳﾝﾄﾞ】 100m走 4~5秒
2010/03/02
CRYPTRECシンポジウム2010「暗号技術の実装について」
崎山 一男
9
SHA-3候補評価結果（一部）
SHA
3候補評価結果（ 部）
 コスト vs スループット
800
@fmax
スループッ ト [[Mbps]
700
600
SHA‐256
Skein
500
CubeHash
400
BLAKE
300
ECHO
200
Groestl
100
Hamsi
Shabal
0
0
1000
2000
3000
4000
5000
Luffa
Number of occupied Slices
800
@100MH
@100MHz
スルー プッ ト [Mbps]
700
600
SHA‐256
Skein
500
CubeHash
400
BLAKE
300
ECHO
200
Groestl
100
Hamsi
Shabal
0
0
1000
2000
3000
4000
5000
Luffa
Number of occupied Slices
2010/03/02
CRYPTRECシンポジウム2010「暗号技術の実装について」
崎山 一男
10
Open Questions
 プラットフォーム
 FPGAの評価結果 ⇒ ASICの実装性見積もり?
 インタフェースの違い
 消費電力評価
 RFID応用
 バッテリー駆動システム (低エネルギー)
 評価基準
 fmax での評価は重要?
 Throughput/gate
g p
g
が全て？
 多少コストが高くても高スループット優先
 多少スループットが悪くても低コスト優先
2010/03/02
CRYPTRECシンポジウム2010「暗号技術の実装について」
崎山 一男